本发明涉及大数据分析领域。
背景技术:
目前,几乎所有传统安全产品都依赖基于特征库比对的原理,该理论的根本局限性在于所依赖的特征库只能收集已知攻击的特征,对于未知的,或者复杂度高、持续时间长的网络攻击无能为力。
而基于大数据分析技术的攻击防御完全不需要特征库,而是通过构建一个动态自适应的流量安全数学模型,实时监测几十种流量安全参数构成的网络行为异常指数系统,实时监测和防御各种潜藏的网络攻击,彻底摆脱了对已知攻击特征库的依赖。
然而,目前的基于大数据分析技术的攻击防御仅仅是一种概念,很多方面亟待完善,尤其需要一种基于风险量化的安全大数据分析方法。
技术实现要素:
本发明的目的在于提供一种基于风险量化的安全大数据分析方法,以解决上文所述问题。
本发明提供的一种基于风险量化的安全大数据分析方法,包括:
a、对大流量数据的统计分析和学习,统计出多个流量安全参数;
b、分析各参数之间的相关性,进而构建动态自适应的安全基线模型。
优选地,步骤a包括:
通过统计分析过去数月甚至数年的流量数据,统计出数十个流量安全参数。
优选地,通过统计分析过去数月甚至数年的流量数据,统计出数十个流量安全参数,包括:
对历史流量进行周期性采样,统计出数十个行为安全指数进行统计分析。
其中,所述统计分析包括以下至少一种:网络分析、用户分析、业务分析,以及自定义统计分析。
优选地,步骤b包括:
建立一个流量安全基线t0,并根据时间t和流量数据形成自适应的流量安全基线:t0(t)=ф[p10(t),p20(t),…pn0(t)],其中,p为反映网络流量异常的行为安全指数;
通过行为安全指数与其安全基线之间的实时比对,生成网络安全行为异常指数δ(t):
δ(t)=t(t)-t0(t);
网络安全行为异常指数之间根据逻辑相关性进行加权计算,构建流量安全模型s:
s(t)=ψ[δ(t)]=ψ{ф[p1(t),p2(t),…pn(t)]-ф
[p10(t),p20(t),…pn0(t)]};
其中,设置流量安全模型决断阈值s0,超出s0的部分为不安全流量。
由上可以看出,本发明通过对大流量数据的统计分析和学习,统计出多个流量安全参数,并分析各参数之间的相关性,进而构建动态自适应的安全基线模型,实现了一种基于风险量化的安全大数据分析,进而为基于大数据分析技术的攻击防御提供了可靠的依据,使基于大数据分析技术的攻击防御可根据各安全参数之间的相互影响波动,就能够比较容易地检测出持续时间长、短期内无异常的复杂持续性攻击行为。
附图说明
图1为本发明的基于风险量化的安全大数据分析方法的流程;
图2为根据本发明方法构建的动态自适应的安全基线模型的曲线图。
具体实施方式
本发明提供的基于风险量化的安全大数据分析方法包括以下步骤:
步骤100:对大流量数据的统计分析和学习,统计出多个流量安全参数。
在一些实施例中,可以通过统计分析过去数月甚至数年的流量数据,统计出数十个流量安全参数。
举例来说,智能检测引擎通过对历史流量进行周期性采样,并计算数十个行为安全指数进行统计分析,包括网络、用户分析、业务分析,自定义统计分析等:
网络
网络是为了让用户快速了解当前网络的使用情况,网络分成6个部分:全局流量、端口流量计及协议饼图、端口会话数量及协议饼图、端口会话新建及协议饼图、端口的主机数量、端口的topn的服务,全局流量支持28个用户端的流量x-y折线图,分成in、out、all。
用户分析
用户分析是针对用户行为进行的详细分析,了解用户行为,合理设定各种配置,用户分析包括:
●基于用户的流量分析
●基于用户的会话数量分析
●基于用户的会话新建速度分析
●基于用户的协议分布分析
topn分析等
●业务分析
●业务分析主要是针对服务器,包括:
●指定服务器的流量分析
●指定服务器的会话数量分析
●指定服务器的会话新建速度分析
●指定服务器的协议分布分析
●指定服务器的topn分析
步骤200:分析各参数之间的相关性,进而构建动态自适应的安全基线模型。
在实际网络流量学习过程中,并结合用户业务白环境(需要结合用户信息安全策略和业务特点构建),建立一个流量安全基线t0,并根据时间t和流量数据进行不断的智能学习和动态调整,形成自适应的流量安全基线:t0(t)=ф[p10(t),p20(t),…pn0(t)]。
在实际网络中,无论任何网络攻击行为都伴随着一定的网络流量异常,如不常被使用的服务端口突然被开启访问、服务器数据的异常逆向流动、用户连接的异常剧烈波动等等,这些异常本质上都会通过我们的行为安全指数p表现出来,通过行为安全指数与其安全基线之间的实时比对,可以生成网络安全行为异常指数δ(t):
δ(t)=t(t)-t0(t)
网络安全行为异常指数之间根据逻辑相关性进行加权计算,就构建起一个系统性的流量安全模型s:
s(t)=ψ[δ(t)]=ψ{ф[p1(t),p2(t),…pn(t)]-ф
[p10(t),p20(t),…pn0(t)]}
其中,设置流量安全模型决断阈值s0,超出s0的部分为不安全流量。
如图2所示,红色阴影部分的流量的行为异常指数超出了决断阈值,被系统识别为潜在的攻击流量。同时,系统会根据流量模型自动调节决断阈值以适应不同的网络环境,从而智能识别潜在的网络攻击。